歐付寶導入源碼檢測機制 打造安全第三方支付平台

 

2011年成立的歐付寶屬金融科技產業，經營的業務範圍與金流息息相關，對資安的需求比照金融業網路銀行，因此特別重視軟體資安，除了防範各種資安風險，同時也建立民眾與客戶對歐付寶的信任。歐付寶受電子支付機構管理條例規範，目前已導入ISO27001認證，每年需進行PCI-DSS安全認證稽核。除遵守以上規範外，也希望建立內部安全程式開發機制以及培養開發人員安全程式開發的概念。

為強化源碼檢測機制 不採人工Code Review 

歐付寶資訊處副總經理梁維誠說：「我本身從事軟體開發多年，曾在某大型會議上，資深工程師分享Source Code，其中竟有明顯的SQL Injection。這事讓我明白，開發人員功力高低關係到系統安全，但即便是資深人員都可能犯錯，所以全面檢視程式碼是有必要的。由於人工Code Review不夠全面，希望由系統化源碼檢測機制，防止各種風險。」

叡揚資安團隊建議Checkmarx工具特性成採用關鍵

目前歐付寶目前正處快速成長期，開發環境也相對複雜。梁副總回想當初評估源碼檢測工具時，比較Checkmarx、Open Source和國外工具。後來叡揚資安團隊提出Checkmarx的3大優點：不需重建開發環境即可檢測，提升使用的方便性；語言支援度高，可檢測範圍大；檢測報告易讀，清楚直指弱點所在，並於POC時驗證，獲得歐付寶青睞。

源碼檢測報告非照單全收 資安專家評估才是重點 

歐付寶建立完善團隊分工，由專責資安工程師負責源碼檢測報表，再對開發人員說明，同時提供最新漏洞資訊做內部教育訓練。梁副總也分享實務經驗：「資安風險應全盤考量，源碼檢測這類資安工具，雖可協助快速判斷軟體是否隱含資安威脅，但掃描報告不建議照單全收，應檢視實際風險再評估如何利用修改原始碼或搭配其他資安措施解決。」全盤考量資安風險而非片面追求軟體弱點檢測報告零風險的思維，亦是許多國際大型企業導入源碼檢測的實務做法。

關注資安議題 必須杜絕所有漏洞

歐付寶所有系統不容許任何弱點，但因包含多種新舊系統及不同開發語言，在資安政策考量下，採漸進式導入，先針對付款和會員兩系統進行源碼檢測，再導入所有系統。未來也會結合Jenkins，進行自主掃描。

持續強化資安架構 

歐付寶的資訊安全管理機制因導入源碼檢測工具，降低軟體安全弱點，打造安全第三方支付平台。未來，歐付寶將持續完善內部的資安架構，也希望叡揚資訊資安團隊能持續協助提供源碼檢測教育訓練及顧問建議，強化開發人員的資安能力。